Hotels sind ein lukratives Angriffsziel und darum vermehrt im Visier von Cyberkriminellen. Nebst den gängigen Erpressungsmethoden, die bei KMUs zum Tragen kommen, kann in Hotellerie- und Gastrobetrieben zusätzlich an Kreditkarten- und Zahlungsdaten oder an Gastinformationen gelangt werden,
die dann für weiterführende Angriffe genutzt werden können.
Phishing und Social-Engineering
Um an diese Informationen gelangen zu können, werden immer raffiniertere Methoden angewendet. Nebst Phishing werden verschiedene Social-Engineering-Methoden eingesetzt, um das Personal dazu zu bringen, auf einen Link zu klicken und Malware zu installieren oder Zugangsdaten zu stehlen.
Sich vor solchen Angriffen zu schützen, wird entsprechend immer schwieriger und ist meist nur noch mit mehrstufigen Sicherheitsmassnahmen möglich. Es
ist naheliegend, sich mittels Spam-Filtern vor unerwünschten E-Mails zu schützen. Die Herausforderungen in der Hotellerie sind da jedoch besonders hoch. Der Kundenkontakt findet vielfach mit fremden Personen auf der ganzen Welt statt, eine Nachricht aus China oder Mexiko ist also per se nicht primär verdächtig. Dies stellt hohe Anforderungen an die technischen Lösungen.
Um diese Filter zu umgehen, setzen Cyberkriminelle zudem vermehrt auf zusätzliche Methoden. So werden Hotelmitarbeiter via integrierten Messaging-Plattformen von booking.com oder Expedia angegangen oder per WhatsApp kontaktiert. Hier fehlen in der Regel die technischen Filter und Überprüfungen,
wie man sie von E-Mail-Nachrichten kennt. Einzig der Mitarbeiter kann hier noch zwischen Fake- oder legitimer Nachricht unterscheiden. Nicht nur deshalb sollen Mitarbeiter regelmässig in Bezug auf Cybersicherheit geschult werden, um sie für potenzielle Bedrohungen zu sensibilisieren und sicherzustellen, dass sie bewährte Verfahren einhalten.
Sollte dennoch eine Schadsoftware auf den Computer gelangen, reichen herkömmliche Antiviren-Programme meist nicht mehr aus, um diese zu erkennen. Es lohnt sich deshalb, auf eine Endpoint-Detection-and-Response-Lösung (EDR) zu setzen. Nebst gebräuchlichem Virenschutz kann eine EDR-Lösung, basierend auf Verhaltensanalyse und sicherheitsrelevanten Ereignissen, in Echtzeit Bedrohungen erkennen. Zudem kann auf potenzielle Sicherheitsverletzungen direkt reagiert werden, wie beispielsweise ein infiziertes Gerät vom Netzwerk trennen, damit sich der Schaden nicht auf andere Geräte ausbreitet.
Identitäten und Berechtigungen
Oft wird jedoch gar nicht mehr versucht, eine Schadsoftware zu installieren. Vielmehr werden die Benutzer auf personalisierte Phishing-Seiten geleitet und dort angewiesen, Kreditkartenangaben oder Login-Daten zu hinterlegen. Diese sehen teilweise so täuschend echt aus, dass selbst versierte Benutzer diese nicht als solche erkennen. Um sich bestmöglich vor weiterem Schaden zu schützen, ist ein durchgängiges Identitätsmanagement (IAM) unabdingbar.
Diese zielt darauf ab, möglichst individuelle und personalisierte Logins einzusetzen. Diese Benutzerlogins sollen mit starken und einmalig verwendeten Kennwörtern und mit mindestens einem zweiten Faktor (Multi-Faktor-Authentifizierung MFA) geschützt werden. Dies hat zum Zweck, sollte trotz aller Vor-sicht eine Benutzer-Passwort-Kombination abhandenkommen, dass diese nicht bei anderen Portalen missbraucht werden kann. Personalwechsel gestalten sich zudem einfacherer und sicherer.
Für einen zusätzlichen Schutz können weitere Systeme vorgeschaltet werden, die ein Login nur unter bestimmten Voraussetzungen zulässt, beispielsweise unter Berücksichtigung von Standort, Uhrzeit, Gerät oder Ähnlichem. Dies kann dann hilfreich sein, wenn Prozesse mit sensitiven Daten wie die Gästekommunikation oder Buchungen immer unter den gleichen Bedingungen stattfinden.
Nebst der Verwendung eines Passwort-Managers kann auf Single-Sign-on-Lösungen gesetzt werden, um die Benutzerfreundlichkeit zu steigern. Das hat den Vorteil, dass ein Benutzer mit nur einem Login auf alle Stationen und Dienste, für die er berechtigt ist, zugreifen kann, ohne sich zusätzlich an den einzelnen Services mit weiteren Logindaten anmelden zu müssen.
Cloud-Security und Datensicherung
Ein nach wie vor gültiger Grundsatz zur Minderung der Angriffsfläche ist die Aktuell-Haltung aller Systeme. Anwendungen, Netzwerk-Komponente, Server und Computer sollten regelmässig nach der Veröffentlichung von Schwachstellen mit den neusten Updates versehen werden. Es empfiehlt sich, dies in einem vordefinierten Prozess regelmässig durchzuführen, damit die Lücken schnellstmöglich geschlossen werden. Weiterhin bewährt sich, besonders schützenswerte oder kritische Systeme vom Netzwerk abzutrennen und zu isolieren. Dies ermöglicht einen besseren Schutz oder vermindert die Ausbreitung eines Schadens.
Mehrere Hotel-Property-Management- und POS-Produkte werden auch aus der Cloud angeboten. Hier verlagern sich der Einflussbereich und die Verantwortung. Der Anbieter übernimmt einen grossen Teil der Infrastruktur-Betreuung. Sicherheitsmassnahmen wie die Verschlüsselung von Datenübertragungen, regelmässige Sicherheitsaudits oder Zugriffskontrollen werden vom Lieferanten implementiert. Hier lohnt es sich, die Dienstleister zu vergleichen und auf die gängigen Zertifizierungen und Konformitäten wie ISO 27001, PCI-DSS, GDPR oder Ähnliches zu achten. Denn schlussendlich bleibt die Verantwortung der erhobenen Daten beim Hotel.
Auch bei den spätestens seit der Coronapandemie bekannten Kollaborations- und Online-Meeting-Lösungen ist Vorsicht geboten. Die Hersteller bieten zwar viele Sicherheitsfunktionen, aber letztendlich ist die Sicherheit der Produkte von der Konfiguration und Verwaltung abhängig. Standardmässig sind diese vielfach nicht aktiv oder müssen zusätzlich erworben und implementiert werden.
Unabhängig davon, ob ein Hotel die IT-Infrastruktur Inhouse betreibt, eine hybride Umgebung nutzt oder eine Cloud-only-Strategie fährt, eine regelmässige Datensicherung ist unerlässlich. In vielen Szenarien wie Systemausfällen oder Ransomware-Angriffen ist ein Backup noch die letzte Möglichkeit, um auf die eigenen Daten zugreifen zu können. Darum sollte die Funktionalität auch kontinuierlich überprüft werden. Auch Cloud-Anwendungen und Dienste sollten nach Möglichkeit dediziert und unabhängig vom Anbieter gesichert werden, damit die Hoheit der Daten beim eigenen Unternehmen liegt.
Fazit
Die steigende Bedrohung durch Cyberangriffe erfordert eine breite und umfassende Herangehensweise, um Daten und Infrastruktur zu schützen. Es ist wichtig, dass Hotels kontinuierlich ihre Sicherheitsmassnahmen überprüfen und aktualisieren, um mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten. In diesem Zusammenhang ist es wertvoll, pragmatische Ansätze zu verfolgen, die sowohl effektiv als auch realistisch sind. Mit einer Analyse der vorhandenen Basis lassen sich die geeigneten Sicherheitsmassnahmen ableiten. Getreu nach dem Motto, wie man es von zu Hause kennt: Verriegeln Sie zuerst alle vorhandenen Türen und Fenster, bevor Sie im Obergeschoss die Fenster vergittern, aber die Haustüre offenlassen.
Der Autor
Daniel Amsler ist CTO der Firma Client Systems AG mit Sitz in Münsingen bei Bern. Seit 1998 ist Client Systems AG ein führender Anbieter für die Hotellerie im Bereich IT-Netzwerk, Cloud, Security und Infrastruktur. Mehr als 100 Vier- und Fünf-Sterne-Hotels zählen schweizweit zu den Kunden von Client Systems.
info@client-systems.ch
www.client-systems.ch